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(57) Abstract 



A method for interconnecting networks which use internet technology, whereby a first network (1) with private TP addressing may 
be linked with a second network (2) with standard IP addressing. Said first and second networks convey packets that each comprise an 
IP header including, in particular, a "source IP address" field and a "destination IP address" field. The packets are considered as outbound 
when they are moved from the first network (1) to the second network (2) via the device, and inbound when the reverse is the case. 
For each outbound packet, the method comprises a first step of converting the private IP address in the "source IP address" field so that 
after conversion, said "source IP address" field contains a single intermediate standard IP address. For each inbound packet, the method 
further comprises a second step of converting the single intermediate standard IP address in the "destination IP address" field so that after 
conversion, said "destination IP address" field of said inbound packet contains one of the private addresses of the first network. 



(57) Abregl 

L* invention conceme un proc£de* d* interconnexion de reseaux mettant chacun en ceuvre la technologie internet, du type permettant 
d'interconnecter un premier reseau (1) presentant un adressage TP privd et un second reseau (2) presentant un adressage IP normalise, 
lesdits premier et second rgseaux vghiculant des paquets, chacun desdits paquets comportant un en-tete IP comprenant notamment un champ 
"adresse IP source" et un champ "adresse IP destination", les paquets 6tant dits sortants s'ils se d6placent du premier (1) vers le second 
(2) nSseau a travers ledit dispositif et sortants dans le cas contraire. Le proc6d£ de 1* invention comprend, pour chaque paquet sortant, une 
premiere dtape de conversion de l'adresse IP privee contenue dans ledit champ "adresse IP source", de facon que ledit champ "adresse IP 
source" dudit paquet sortant contienne, apres conversion, une adresse IP normalisee interm6diaire et unique. Le proofde' de rinvention 
comprend 6galement, pour chaque paquet entrant, une seconde tope de conversion de 1* adresse IP normalisee interm&iiaire et unique 
contenue dans le champ "adresse IP destination", de facon que ledit champ "adresse IP destination" dudit paquet entrant contienne, apres 
conversion, une des adresses privees du premier reseau. 
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0ISP0SXTIF, PROCEDE ET ROUTEUR D' INTERCONNEXION DE RESEAUX 

Le domaine de Tinvention est celui des reseaux de telecommunication mettant en 
oeuvre la technologie internet. 

Plus pr6cis6ment, V invention concerne un dispositif et un proc6d6 
d'interconnexion de deux reseaux mettant chacun en oeuvre la technologie internet, Tun 
pr&entant un adressage IP prive et r autre un adressage IP normalise. 

La technologie internet, aussi appelee technologie TCP/IP, est basee sur 
V utilisation des protocoles TCP/IP qui se d^finissent comme une suite de protocoles 
visant non seulement h. interconnecter des calculateurs relies par un meme reseau 
physique, mais aussi & interconnecter ces differents reseaux physiques entre eux de 
maniere a constituer un reseau logique unique. 

Une des particularity marquantes de cette suite de protocoles est d'etre 
independante du support physique, c*est-&-dire de fonctionner sur (et done 
d'interconnecter) toutes les technologies de support presentes et a venir (Ethernet, Token 
Ring, X.25, simple c&ble s6rie, ATM, RNIS, Relais de Trames, etc...)- 

La technologie TCP/IP peut done etre employee par toute vaste organisation 
d6sirant uniformiser ses ressources reseaux, classiquement composes de plusieurs 
reseaux physiques, de technologies g6n6ralement differentes. Elle va ainsi permettre aux 
utilisateurs et applications informatiques de faire apparaitre ces Elements h priori 
incompatibles comme un reseau unique. 

II convient de distinguer la "technologie internet" du reseau Internet. Ce dernier 
est en fait un r6seau mondial unique, interconnectant de tres nombreuses machines et 
actuellement en tres forte expansion. 

Une organisation peut done d6ployer son propre r6seau sur la base de la 
technologie internet sans etre connectfie h Internet (le reseau mondial). Si elle souhaite 
ensuite s'y connecter, la tSche lui sera facilit6e puisqu'elle utilise la meme technologie. 

Parmi la s6rie de protocoles de transmission de donn^es h laquelle fait reference 
TPC/IP, les plus importants sont : 

IP (pour Internet Protocol en anglo-saxon) ; 
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TCP (pour Transmission Control Protocol en anglo-saxon) ; 

UDP (pour User Datagram Protocol en anglo-saxon). 
Le protocole IP est le protocole de base de la tecbnologie internet. II a pour simple 
fonction de transferer un paquet de donn£es (c'est-a-dire un ensemble d* octets) d'une 
machine k 1' autre. Pour ce faire, il rajoute au paquet de donn&s un en-tete IP comprenant 
notamment les trois champs suivants : "protocole", "adresse IP source" et "adresse IP 
destination". 

En pratique, les donn6es que v6hicule un paquet IP sont en fait des unites de 
protocole d'un niveau superieur (principe d' encapsulation), tels que TCP et UDP. Le 
champ "protocole" permet done de definir ce protocole. 

Les champs "adresse IP source" et "adresse IP destination" d£finissent T adresse 
IP de la machine emettrice et de la machine destinatrice respectivement. Les adresses sont 
codees sur 32 bits. Dans le monde TCP/IP, une adresse definit a la fois la machine et le 
r£seau physique auquel elle est raccordee. Elle est done unique dans l'ensemble du 
reseau. 

Lors de remission d'un paquet, une machine ddtecte (en comparant la partie des 
adresses definissant le reseau) si la machine destinatrice est sur le meme reseau physique 
qu'elle meme. Auquel cas, elle envoie directement le paquet. Sinon, elle Tenvoie k une 
machine capable de faire suivre la paquet vers d'autres reseaux physiques. Une telle 
machine est gen^ralement designee par le terme de "routeur IP". 

D'une fagon gdnerale, les communications entre equipements informatiques 
peuvent se classer en deux grandes families, a savoir les communications en mode non- 
connecte et les communications en mode connects. 

Dans le mode non-connecte (appele mode "connectionless", ou mode "datagram" 
par les anglo-saxons), la machine A desirant envoyer des domtees k la machine B 
constitue un Element de protocole incluant des donn£es a transmettre, ainsi que T adresse 
de la machine B. Le r6seau se charge d'acheminer cet element de protocole jusqu*a la 
machine destinatrice. Dans le monde TCP/IP, le protocole de transfert en mode non- 
connecte est UDP. 

Le mode connecte est plus complexe que le ptec^dent. II introduit la notion de 
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connexion, analogue a une communication telephonique. Une connexion a lieu entre deux 
equipements informatiques et comporte trois phases : 

Fetablissement : la machine A demande Fetablissement d'une connexion 

vers la machine B et celle-ci Faccepte ; 

le transfert : les machines A et B £changent des donn6es au travers de cette 
connexion ; 

la liberation : la connexion se termine sur Pinitiative d'une des deux 
machines. 

Une connexion est un objet abstrait concernant au moins les deux equipements 
d'extr6mit6. Ces equipements vont done devoir creer, manipuler et effacer des structures 
de donnees decrivant Fetat de la connexion. 

Dans le monde TCP/IP, le protocole de transfert en mode connecte est TCP. 

Lorsque Ton desire interconnecter plusieurs reseaux, il convient de s'assurer que 
le plan d'adressage de chacun des reseaux est compatible avec celui de chacun des autres 
reseaux. 

Ainsi, dans le cas du reseau mondial Internet, constitue de plusieurs reseaux 
interconnects, F adressage IP est normalise, de facon que chaque machine, quel que soit 
le reseau auquel elle appartient, possede une adresse IP distincte. Les instances 
administratives du r&eau Internet sont seules habilitees a attribuer de nouvelle adresse IP. 

Quand une organisation d6ploie son propre r&eau (dit reseau priv6) sur la base de 
la technologie internet, sans que ce reseau soit int6gre au reseau mondial Internet, elle 
d£finit un plan d'adressage prive, qui est incompatible avec le plan d'adressage normalise 
du reseau Internet. Si, ultSrieurement, cette organisation decide de relier son reseau a 
adressage IP priv6 au reseau Internet, ou plus g6n6ralement k un reseau quelconque k 
adressage IP normalise, elle se heurte k un probfeme d' incompatibility entre les plans 
d'adressage prive et normalise. 

Une premiere solution comme visant k pallier ce problfeme consiste a reconfigurer 
F ensemble du reseau prive pr6alablement existant 

Cette premiere solution est tres difficile k mettre en oeuvre puisque les instances 
administratives d'un reseau a adressage normalise attribuent des espaces d'adressage ne 
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comprenant g6n6ralement qu'un faible nombre d*entrdes. Ainsi, sur le reseau Internet, il 
est actuellement quasiment impossible d'obtenir des espaces d* adressage superieurs a 256 
entrees. En d'autres termes, il est impossible d'offrir des acces au rdseau Internet a des 
reseaux priv6s existants comportant plus de 256 machines. 

Par ailleurs, la logique de 1'adressage IP etant symetrique, toute machine du 
reseau prive se mettant en situation d*acc6der au reseau h adressage normalise devient 
immediatement accessible de I'exterieur a travers ce reseau zk adressage normalise. Or, 
une contrainte de 1' administrates du domaine d' adressage IP prive est generalement de 
maintenir la s6curit6 de son r6seau. II souhaite permettre aux machines de son reseau 
prive d'acceder aux ressources disponibles sur le reseau normalise. En revanche, il ne 
souhaite pas que les machines de ce reseau normalise, done exterieures, puissent acceder 
i Tensemble des ressources de son reseau prive. 

Une seconde solution connue visant a pallier Fincompatibilite d' adressage entre 
deux reseaux a interconnecter consiste a interposer entre les deux reseaux un dispositif 
realisant une conversion d'adresses. Pour ce faire, le reseau prive doit done se voir 
attribuer, par 1* administrates du domaine d'adressage IP normalise, une adresse IP 
normalis6e de raccordement, qui devra etre affectee au dispositif de conversion d' adresse, 
et une plage d'adresses IP normalisees destindes a etre affectees aux machines composant 
le reseau a raccorder. 

Dans ce cas, une adresse IP normalisee est substituee de maniere univoque h une 
adresse IP privee lors du passage des paquets au travers de la passerelle que constitue le 
dispositif d'interconnexion entre les deux reseaux. 

Cette seconde solution connue offre Tavantage, par rapport a la premiere, de ne 
pas necessiter une renumerotation complete du reseau prive. En revanche, elle presente le 
meme inconvenient de necessiter une plage d'adresses IP normalisees (au moins autant 
d'adresses normalisees que de machines composant le reseau prive) en plus de V adresse 
de raccordement, ainsi que celui de ne pas assurer la s6curite du reseau prive (du fait de 
la symetrie de la logique d'adressage IP). 

Les passerelles applicatives constituent une troisieme solution connue visant k 
pallier l'incompatibilite d'adressage entre deux r6seaux h interconnecter. 
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Cette troisi&me solution connue, si elle est performante sur le plan de la facility 
d' administration et de la s&rurite, presente les inconvenients suivants : 

un programme de relais applicatif est n£cessaire pour chaque type 
d' application. La liste des services supports est done forcement reduite. 
Et surtout, une passerelle applicative ne pourra pas, sauf mise & jour 
logicielle, supporter les nouveaux services Internet encore inconnus ou 
experimentaux a ce jour ; 

le programme n'est pas transparent pour 1'utilisateur. II doit en effet se 
connecter sur la passerelle, et ensuite etablir la connexion vers le service 
desire. Ceci pouvant etre plus ou moins masque par des protocoles 
sp£cifiques entre la passerelle et 1'utilisateur. Mais, ensuite il est alors 
generalement n6cessaire de modifier l'outil d'acces, ce qui interdit 
Femploi de produits standards du marche. 
L'invention a notamment pour objectif de pallier ces differents inconvenients de 
I'6tat de la technique. 

Plus prficisement, Tun des objectifs de la pr6sente invention est de fournir un 
proc6d6 de conversion d'adresse entre un premier reseau presentant un adressage IP priv6 
et un second r£seau presentant un adressage IP normalise, ce proc6d6 ne n£cessitant pas 
1* attribution au r6seau priv6 d'une plage d'adresses IP normalisees. 

L'invention a egalement pour objectif de fournir un tel proc£de qui permette 
d'interdire les connexions du r£seau a adressage normalise vers le reseau a adressage 
priv6, de fagon a assurer la securite du reseau priv6. 

Un autre objectif de l'invention est de fournir un tel proc£d6 qui soit independant 
du type d' application et transparent pour les utilisateurs des machines du reseau priv6. 

Un objectif compl6mentaire de l'invention est de fournir un dispositif 
d' interconnexion d'adresses repondant aux objectifs pr&ites. 

Ces differents objectifs, ainsi que d'autres qui apparaitront par la suite, sont 
atteints selon l'invention & l'aide d'un proc6d6 d' interconnexion de r^seaux mettant 
chacun en oeuvre la technologie internet, du type permettant d'interconnecter un premier 
r£seau presentant un adressage IP priv6 et un second reseau presentant un adressage IP 
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normalise, lesdits premier et second reseaux vehiculant des paquets, chacun desdits 
paquets comportant un en-tete IP comprenant notamment un champ "adresse IP source*' 
et un champ "adresse IP destination", les paquets etant dits sortants s'ils se deplacent du 
premier vers le second reseau a travers ledit dispositif et entrants dans le cas contraire, 

ledit proc6d£ comprenant, pour chaque paquet sortant, une premifere etape de 
conversion de F adresse IP privee contenue dans ledit champ "adresse IP source", de 
fagon que ledit champ "adresse IP source" dudit paquet sortant contienne, apres 
conversion, une adresse IP normalisee intermediaire et unique ; 

et ledit procede comprenant, pour chaque paquet entrant, une seconde 6tape de 
conversion de l'adresse IP normalisee intermediaire et unique contenue dans le champ 
"adresse IP destination", de fagon que ledit champ "adresse IP destination" dudit paquet 
entrant contienne, apres conversion, une des adresses privees du premier reseau. 

Ainsi, le principe general de Finvention consiste h n'utiliser qu'une seule adresse 
IP normalisee. Vu du reseau normalise, toutes les connexions provenant du reseau prive 
apparaissent comme provenant de cette adresse unique. Ceci permet une grande 
simplification de 1' administration du dispositif qui met en oeuvre le procede de 
Finvention, comme de F administration de Fensemble du reseau prive. De plus, le 
proc6d£ de Finvention offre la possibility de connexion a partir d'un simple acces de type 
"dialup-ip". 

Dans un mode de realisation preferentiel de Finvention, chacun desdits paquets 
comportant un en-tete TCP ou UDP comprenant notamment un champ "port source" et un 
champ "port destination", ledit en-tete IP comprenant en outre un champ "protocole de 
transport" indiquant le protocole TCP ou UDP utilise, les paquets empruntant des 
connexions bidirectionnelles, chaque connexion etant un lien logique entre une premiere 
extr6mit6 idu premier r6seau et une seconde extremity du second reseau, chaque premiere 
ou seconde extr6mit£ £tant identifide par une adresse IP, un port et un protocole de 
transport, chaque connexion etant identifiee par un jeu de parametres {IPa, Pa, IPb, Pb, 
proto} correspondant respectivemeht k F adresse IP et au port de la premiere extremite, a 
l'adresse IP et au port de la seconde extr6mit6, et au protocole de transport commun aux 
premiere et seconde extr6mites, 
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lesdites premieres et secondes etapes de conversion d' adresse comprennent, pour 
chaque paquet, les etapes suivantes : 

lecture des champs "adresse BP source", "port source", "adresse IP destination", 
"port destination", et "protocole de transport" dudit paquet, de fa^on k disposer d'un jeu 
5 de parametres correspondant aux contenus desdits champs lus et permettant d' identifier 

une connexion d'origine empruntee par ledit paquet ; 

recherche dans une table de conversion d'une entree correspondant k ladite 
connexion d'origine empruntee par le paquet, ladite table de conversion associant une 
connexion transposee distincte a chaque connexion d'origine ; 

10 - s'il n'existe pas d'entree correspondant a ladite connexion d'origine empruntee 

par le paquet, creation et ajout dans ladite table de conversion d'un nouveau couple 
(connexion d'origine, connexion transposee) ; 

modification dudit paquet, de fa?on a remplacer la connexion d'origine par la 
connexion transpos£e qui lui est associee. 

15 De cette fa$on, l'adresse IP normaiis6e de Fensemble du reseau priv6 est partagee 

dans le temps par differentes connexions, chaque connexion 6tant definie par un jeu de 
cinq parametres. Ainsi, pour chaque paquet (sortant ou entrant) a traiter, on determine la 
connexion d'origine utilisee par ce paquet, et a partir d'une table de conversion, on en 
deduit une connexion transposee que doit utiliser le paquet pour la suite de son trajet. 

20 Une connexion TCP/IP s'etablit entre deux couples (adresse IP source/port 

source) et (adresse IP destination/port destination). D'un point de vue plus applicatif, une 
connexion s'dtablit toujours suivant un principe client/serveur. C'est-a-dire qu'une 
application desirant dialoguer avec un service va 6tablir une communication avec la 
machine supportant ce service (ce qui d£finit l'adresse IP destination). Cette machine 

25 pouvant supporter differentes applications, c'est le port destination qui va permettre de 

selectionner 1' application souhaitee. 

Si le paquet est sortant, les deux adresses IP source et destination de la connexion 
transposee sont des adresses IP normalises. Si le paquet est entrant, les deux adresses 
IP source et destination de la connexion d'origine sont des adresses IP normalisees. 

30 Dans un premier mode de realisation avantageux du proc6d6 de l'invention, ladite 
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etape de creation et d'ajout dans ladite table de conversion d'un nouveau couple 
(connexion d'origine, connexion transposee) consiste a creer dans ladite table de 
conversion une premiere et une seconde entree associant chacune un jeu de paramfctres 
d'origine J c = {ip_src, p_src, ip_dst, p„dst, p__proto} a un jeu de parametres transposes 
5 J t = {ip_src\ p„src\ ip_dst\ p„dst\ p__proto' }, 

et, lorsque ladite connexion d'origine est sortante, c'est-a-dire initiee par ladite 
premiere extremite du premier reseau, lesdits jeux de paramfetres d'origine et transposes 
s'6crivent respectivement : 

pour ladite premiere entree : J 0 ,i = {IPa, Pa, IPb, Pb, proto} et J l( i = {IPv, Pv, 
10 IPb, Pb, proto}, 

pour ladite seconde entree : J 0 ,2 = {IPb, Pb, IPv, Pv, proto} et J t ,2 = {IPb, Pb, 
IPa, Pa, proto}, 

les parametres IPa, Pa, IPb, Pb et proto dtant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 

1 5 "protocole de transport" dudit paquet, 

les parametres BPv, Pv et proto ddfinisant une extremite virtuelle, IPv etant ladite adresse 
IP normalise interm^diaire et unique, et Pv etant un port dont la valeur est calculfe en 
dynamique, de fagon qu'il n'existe aucune autre connexion de la table de conversion 
possedant le meme couple (IPv, Pv). 

20 Toutes les extr&nites virtuelles (IPv, Pv, proto) possfedent une meme adresse IP 

normalisee : c'est Fadresse unique (IPv) du reseau priv£ dans le reseau normalise. En 
revanche, elles se distinguent les unes des autres par la valeur des deux autres 
parametres, h savoir le port et le protocole. 

Preferentiellement, dans ce premier mode de realisation, lorsque ladite connexion 

25 d'origine est entrante, c*est-a-dire initiee par ladite seconde extremit6 du second r6seau, 

lesdits jeux de parametres d'origine et transposes s'£crivent respectivement : 

pour ladite premiere entree : J 0 ,i = {IPb, Pb, IPv, Pv, proto} et J t j = {IPb, Pb, 
IPa, Pa, proto}, 

pour ladite seconde entree : J G .2 = {IPa, Pa, IPb, Pb, proto} et J u2 = {IPv, Pv, 
30 IPb, Pb, proto}, 
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les parametres IPb, Pb, IPv, Pv et proto etant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto definisant une extremite virtuelle, IPv etant ladite adresse 
IP normalisee intermediate et unique, ou bien, au choix de Fadministrateur, une adresse 
IP choisie dans la plage d'adresses normalises attribuee au site k connecter, et Pv etant 
un port predetermine, 

et le couple de parametres (IPa, Pa) etant trouve, grace au couple de parametres (IPv, 
Pv), par lecture d'une table de correspondance statique associant de fagon bijective h 
chaque couple de parametres (IPa, Pa) parmi une pluralite prddeterminee un couple de 
parametres (IPv, Pv) distinct. 

Dans un second mode de realisation avantageux du procede de 1* invention, ladite 
6tape de creation et d'ajout dans ladite table de conversion d'un nouveau couple 
(connexion d'origine, connexion transpos£e) consiste k cr6er dans ladite table de 
conversion une unique entree associ£e k un jeu combine de parametres d'origine et 
transposes J c = {ipo, po* ipi. Pi> iP2, P2, proto}, 

et, lorsque ladite connexion d'origine est sortante, c*est-&-dire initiee par ladite 
premiere extremite du premier r^seau, ledit jeu combine de parametres d'origine et 
transposes s'ecrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto}, 

les parametres IPa, Pa, IPb, Pb et proto etant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto definisant une extremite virtuelle, IPv etant ladite adresse 
IP normalisee intermediaire et unique, et Pv etant un port dont la valeur est calculee en 
dynamique, de faqon qu'il n'existe aucune autre connexion de la table de conversion 
possedant le meme couple (IPv, Pv). 

Le calcul du parametre Pv est dynamique et ne peut avoir lieu que sur des 
connexions sortantes. 

Preferentiellement, lorsque ladite connexion d'origine est entrante, c'est-&-dire 
initiee par ladite seconde extremite du second reseau, ledit jeu combine de parametres 
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d'origine et transposes s'ecrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto}, 

les parametres IPb, Pb, IPv, Pv et proto etant lus dans les champs respectivement 

"adresse IP source", "port source", "adresse IP destination", "port destination", et 

"protocole de transport" dudit paquet, ou bien, au choix de 1' administrates, une adresse 

IP choisie dans la plage d'adresses normalisees attribute au site a connecter. 

les parametres IPv, Pv et proto definisant une extremity virtuelle, IPv etant ladite adresse 

IP normalisee intermediaire et unique, et Pv etant un port predetermine, 

et le couple de parametres (IPa, Pa) etant trouve, grace au couple de parametres (IPv, 

Pv), par lecture d'une table de correspondance statique associant de fagon bijective k 

chaque couple de parametres (IPa, Pa) parmi une pluralite predeterminee un couple de 

parametres (IPv, Pv) distinct. 

Ainsi, il est possible, pour les connexions entrantes, d'effectuer une conversion 
"statique", la recherche du couple de parametres (Ipa, Pa) etant effectuee parmi un 
ensemble de couple predetermine. 

Avantageusement, dans le cas du premier mode de realisation, pour chaque 
paquet sortant, ladite etape de modification du paquet consiste a remplacer le contenu des 
champs "adresse IP source" et "port source" du paquet par les parametres correspondants 
ip_src' et p„src' dudit jeu de parametres transposes J t d' identification de la connexion 
transposee, 

et, pour chaque paquet entrant, ladite etape de modification du paquet consiste k 
remplacer le contenu des champs "adresse IP destination" et "port destination" du paquet 
par les parametres correspondants ip_dst' et p„dst* dudit jeu de parametres transposes J t 
d' identification de la connexion transposee. 

Ainsi, vu de la premiere extremite du premier reseau, il existe une connexion entre 
cette premiere extremite et la seconde extremite du second reseau. En revanche, vu de la 
seconde extremite du second reseau, il existe une connexion entre cette seconde extremite 
et une extremite virtuelle du second reseau (et non pas la premiere extremite du premier 
reseau). 

Avantageusement, dans le cas du second mode de realisation, pour chaque paquet 
sortant, ladite etape de modification du paquet consiste k remplacer le contenu des champs 
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"adresse IP source" et "port source*' du paquet par les parametres ip2 et p2 dudit jeu 
combing de paramfetnes d'origine et transposes J c , 

et, pour chaque paquet entrant, ladite etape de modification du paquet consiste a 
remplacer le contenu des champs "adresse IP destination*' et "port destination" du paquet 
par les parametres ipo et po dudit jeu combine de parametres d'origine et transposes J c . 

Pr6f6ientiellement, ladite table de conversion est mise & jour de fagon dynamique 
selon une strategie pr6d6termin6e de mise k jour. Ainsi, la taille memoire de la table de 
conversion peut 6tre limitee et Tetape de recherche d'une connexion d'origine dans la 
table, si elle existe, peut etre effectuee plus rapidement. 

Plusieurs strategies de mise k jour peuvent etre envisages. 

Dans un mode de realisation avantageux de Tinvention, ladite strategie 
predeterminee de mise a jour consiste a ne laisser chaque couple de connexions d'origine 
et transposfe inscrit dans la table de conversion qu'entre un instant de debut et un instant 
de fin de vie de ladite connexion d'origine. En d'autres termes, une connexion est otee de 
la table de conversion dbs que sa duree de vie s'est ecoulee. 

De fa?on avantageuse, dans le cas d'une connexion utilisant le protocole TCP, 
lesdits instants de debut et de fin de vie de la connexion d'origine sont determines en se 
referant au diagramme d'etat d'une session TCP, selon la specification TCP (RFC 793). 

Avantageusement, dans le cas d'une connexion utilisant le protocole UDP, ledit 
instant de debut de vie de la connexion d'origine est determine par le passage/dans un 
sens donne, d'un paquet de requete, et en ce que ledit instant de fin de vie est determine 
par le passage, dans le sens inverse dudit sens donne, d'un paquet de reponse. 

Ainsi, meme si cela peut sembler contradictoire avec le principe meme d'UDP, on 
introduit selon l'invention une notion de connexion UDP. En effet, le protocole UDP est 
par principe "non connecte". 

En fait, une analyse des applications utilisant le protocole UDP permet de les 
classer en deux grandes categories : 

les applications utilisant la diffusion multiple (broadcast en anglo-saxon). 
Ces applications n'ont en general qu'une utilite locale. Elles peuvent done 
etre supprimees sans inconvenient au niveau d'un dispositif de 
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raccordement inter-r&eaux ; 

les applications du type requete/reponse. Un paquet UDP est dmis vers 
une machine et un port particulier et contient une requete. A la destination 
se trouve un serveur qui analyse le paquet regu et renvoie une r^ponse, 
5 elle-meme encapsulee dans un paquet UDP. Quelques exemples 

d' applications de ce type : Serveur d'horloge, Serveur de noms (DNS)... 
Ce dernier type d* application pennet de retrouver l'idee de connexion. Au niveau 
d'un dispositif de raccordement inter-reseaux, une connexion commence d'exister 
lorsque passe un paquet UDP n'appartenant a aucune connexion repdree et se termine 
10 lorsque passe en sens inverse un paquet de r^ponse. 

Comme le principe de Tinvention consiste a appliquer une translation d'adresses a 
chaque connexion, le fait de d^finir des "connexions UDP" permet de rendre le proc6d£ 
de 1' invention applicable au protocole UDP. 

Selon une variante avantageuse, dans le cas d'une connexion utilisant le protocole 
15 UDP, ledit instant de debut de vie de la connexion d'origine est determine par le passage, 

dans un sens donne, d'un paquet de requete, et en ce que ledit instant de fin de vie est 
determine par l'6coulement d'une dur6e pr£d6termin£e depuis ledit instant de d6but de 
vie. 

Afin de supporter un maximum d' applications pr6sentes et futures, on peut affiner 
20 ce mecanisme de detection des connexions en offrant une possibility de paramdtrage par 

Tutilisateur de ce qui va determiner la fin de la connexion : un ou plusieurs paquets de 
r6ponse, ou bien 1' expiration d'une temporisation arm6e par la requete. De meme, il est 
possible de param£trer la possibility d* avoir plusieurs requetes au travers de la mSme 
connexion. Tous ces parametrages peuvent bien sur etre definissables en fonction de 
25 replication (determine par le port destination du paquet initialisant la connexion). 

Dans un mode de realisation pr€ferentiel de 1' invention, le proced£ comprend une 
6tape de filtrage des paquets sortants en fonction du contenu d'un des champs appartenant 
au groupe comprenant les champs "adresse IP source", "adresse IP destination" et "port 
destination". 

30 L' invention concerne egalement un dispositif d' interconnexion de reseaux mettant 
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chacun en oeuvre la technologie internet, du type destine a 6tre ins6r£ entne un premier 
reseau presentant un adressage IP priv6 et un second reseau presentant un adressage IP 
normalise, lesdits premier et second reseaux vdhiculant des paquets, chacun desdits 
paquets comportant un en-tete IP comprenant notamment un champ "adresse IP source" 
et un champ "adresse IP destination", les paquets 6tant dits sortants s'ils se d^placent du 
premier vers le second reseau a travers ledit dispositif et entrants dans le cas contraire, 

ledit dispositif possedant une adresse IP normalisee interm&iiaire et unique dans 
ledit second reseau, et comprenant notamment : 

des premiers moyens de conversion des adresses IP privees contenues dans les 
champs "adresse IP source" des paquets sortants, de fagon que ledit champ "adresse IP 
source" de chacun desdits paquets sortants contienne, apres conversion, ladite adresse IP 
normalisee intermediaire et unique ; et 

des seconds moyens de conversion de T adresse IP normalisee interm6diaire et 
unique contenue dans les champs "adresse IP destination" des paquets entrants, de fa$on 
que ledit champ "adresse IP destination" de chacun desdits paquets entrants contienne, 
aprfes conversion, une des adresses privies du premier reseau. 

Avantageusement, chacun desdits paquets comportant un en-tete TCP ou UDP 
comprenant notamment un champ "port source" et un champ "port destination", ledit en- 
tete IP comprenant en outre un champ "protocole de transport" indiquant le protocole 
TCP ou UDP utilise, 

lesdits premiers et seconds moyens de conversion d* adresse comprennent : 

des moyens de reception et de stockage d'un paquet ; 

des moyens de lecture d'un paquet re9u et stocke, permettant d' identifier une 
connexion d'origine empruntee par ledit paquet, par la connaissance d'un jeu de 
paramfetres d'identification qui sont les contenus des champs "adresse IP source", 
"adresse IP destination", "port source", "port destination", et "protocole de transport" du 
paquet re$u et stocks ; 

au moins une table de conversion, associant une connexion transpos6e distincte a 
chaque connexion d'origine, chacune desdites connexion d'origine ou transposee etant 
identifife par un jeu distinct de parametres d' identification ; 
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des moyens de lecture de ladite table de transposition, permettant de lire le jeu de 
param&tres d' identification de la connexion transpose associee k la connexion d'origine 
empruntee par le paquet regu et stocke ; 

des moyens de modification dudit paquet re$u et stocke permettant de substituer le 
jeu de paramdtres d' identification de la connexion transpose au jeu de parametres 
d' identification contenus dans le paquet regu et stocks, de fagon a remplacer la connexion 
d'origine par la connexion transposfe qui lui est associee dans la table de conversion. 

L' invention conceme aussi un routeur IP d' interconnexion de reseaux, caracterise 
en ce qu'il comprend un dispositif presentant les caract£ristiques pr£cit£es, ladite adresse 
IP normalisee intermediate et unique etant T adresse IP normalisee de raccordement dudit 
routeur IP audit second reseau. 

D'autres caract6ristiques et avantages de 1' invention apparaltront k la lecture de la 
description suivante d'un mode de realisation prdfgrentiel de I'invention, donnee i titre 
d'exemple indicatif et non limitatif, et des dessins annexes, dans lesquels : 

la figure 1 illustre le principe general du procede d' interconnexion de 
reseaux selon Finvention ; 

la figure 2 presente la structure connue d'un paquet TCP/IP ; 

la figure 3 presente la structure connue d'un en-tete IP ; 

la figure 4 presente la structure connue d'un en-tSte TCP ; 

la figure 5 presente la structure connue d'un en-tete UDP ; 

la figure 6 illustre une transposition de connexion telle que realisee par le 

proc&Ie de 1* invention ; 

la figure 7 presente un organigramme d'un mode de realisation particulier 
du proc6de de I'invention ; 

les figures 8 et 9 pr6sentent chacune en detail l'une des Stapes de 
r organigramme de la figure 7 ; 

la figure 10 est un schema synoptique simplify d'un dispositif 
d'interconnexion de reseaux selon l'invention ; 

la figure 1 1 est un exemple de realisation de la table de connexion 
comprise dans le dispositif de la figure 10 ; et 
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la figure 12 illustre un exemple ^application du procddd et du dispositif 
de F invention. 

L' invention concerne done un proc^de et un dispositif d* interconnexion de deux 
r6seaux mettant chacun en oeuvre la technologie internet (ou technologie TCP/IP). 

Comme illustr£ sur la figure L il s'agit d'interconnecter : 

un premier reseau 1 pr^sentant un adressage IP prive ; et 
un second reseau 2 pr6sentant un adressage IP normalise 

L* interconnexion des deux reseaux 1, 2 consiste notamment k effectuer une 
conversion d'adresse 3. 

Le second reseau 2 est par exemple le reseau mondial Internet. Le premier r6seau 
1 est par exemple un reseau local d'entreprise dont Tadressage a 6te defini en dehors de 
Tautorite globale pour r attribution des adresses. 

Le terme "prive" qualifiant l'adressage IP du premier reseau 1 s'entend ici comme 
T inverse de "normalis6. 

La technologie connue internet est basee sur une suite de protocoles dont les plus 
importants sont IP, TCP et UDP. 

Le protocole IP (pour Internet Protocol en anglo-saxon) est le protocole de base 
de la technologie internet. II a pour simple fonction de transferer un paquet de donn£es 
(e'est-^-dire un ensemble d' octets) d'une machine a une autre. 

Le protocole TCP (pour Transmission Control Protocol en anglo-saxon) s'appuie 
sur le protocole IP et a pour objet d'assurer une communication en mode connects, c*est- 
2t-dire d* assurer un circuit virtuel entre deux applications situees sur des machines 
distinctes. Pour cela, le protocole TCP doit assurer la fiabilit^ des transmissions, 
Tordonnancement et le controle de flux. Le flux de donnees envoy 6 par une application 
est done segment^ en paquets. A chacun de ces paquets est ajoute un en-tete TCP (dont la 
structure est pr6sent6e sur la figure 4). Chaque paquet ainsi complete est ensuite confie au 
protocole IP qui y ajoute son propre en-tete IP (dont la structure est presentee sur la 
figure 3). 

Le protocole UDP (pour User Datagram Protocol en anglo-saxon) s'appuie 
egalement sur le protocole IP et a pour objet d* assurer une communication en mode non 
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connecte. Le choix du protocole UDP correspond aux applications reposant sur un trafic 
faible ou sur des echanges du type "question-r^ponse". 

Le protocole UDP ajoute un en-tSte (dont la structure est presentee sur la figure 5) 
aux donnees a transmettre. Ce paquet est ensuite confie au protocole IP qui y ajoute son 
propre en-tete IP. 

Les paquets ont done construits selon un principe d* encapsulations successives : 
on ajoute aux donn^es un en-tete TCP ou UDP, de fagon a former un 
paquet TCP ou UDP ; puis 
on ajoute au paquet TCP ou UDP un en-tete IP. 
La figure 2 prSsente la structure connue d'un paquet TCP/IP 21. La structure 
connue d'un paquet UDP/IP se d^duit facilement de la pr6c6dente par remplacement de 
l'en-t8te TCP par un en-tete UDP. 

L'en-tSte IP 31 dont la structure connue est presentee sur la figure 3, comprend 
notamment : 

un champ "protocole" 32 definissant le protocole utilise, par exemple TCP 
ou UDP. En effet, les donnees que vdhicule un paquet IP sont en fait des 
unites de protocole d'un niveau sup6rieur (principe d'encapsulation) ; 
un champ "adresse BP source" 33 et un champ "adresse IP destination" 34 
d6finissant Fadresse IP emettrice et T adresse IP de la machine destinatrice 
respectivement. 

Le protocole IP permet d'envoyer des donnees d'une machine & une autre. 
Comme ces machines sont g6n6ralement multi-application, il est necessaire de fournir un 
moyen d' identifier les applications qui d6sirent communiquer entire elles. Ceci est fait par 
les protocoles TCP et UDP, en introduisant le notion de "port". En effet, les en-tetes TCP 
41 et UDP 51, dont les structures connues sont pr6sent6es sur les figures 4 et 5 
respectivement, comprennent notamment un champ "port source" 42, 52 et un champ 
"port destination" 43, 53. 

Le champ "port destination" 43, 53 permet de selectionner 1' application souhaitee 
parmi celles support^es par la machine destinatrice, e'est-i-dire celle dont T adresse IP est 
d<Sfinie par le champ "adiesse IP destination" 34 de 1' en-tete IP 3 1 . s 
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Le proced6 d* interconnexion de reseaux de Finvention est base sur une analyse 
des connexions utilis6es par les paquets. Selon l'invention, la notion de connexion* qui 
s* applique g^neralement uniquement au protocole TCP, est g£n£ralisee de fagon h 
s'appliquer egalement au protocole UDP. 
5 On appelle extr&nite de reseau une entite logicielle (par exemple une application) 

pouvant etre ddcrite par les trois parametres suivants : une adresse IP, un port et un 
protocole (TCP ou UDP). 

On appelle connexion un lien logique entre deux extr^mites de rfseau, l'une 6tant 
cliente et Fautre serveur. Une extr6mit6 peut faire partie de plusieurs connexions 
10 differentes. Une fois initi£e, une connexion est un chemin de communication permettant 

des echanges de donn€es bidirectionnels. 

La connexion entre les deux extremites A = {IPa, Pa, proto} et B = {IPb, Pb, 
proto} peut etre d6sign6e, de fagon unique par les cinq parametres suivants : 
IPa: F adresse IP de la premiere extremite A ; 
15 - IPb : F adresse DP de la seconde extremite B ; 

Pa : le port de la premiere extremite A ; 
Pb : le port de la seconde extremite B ; 
proto : le protocole de la connexion (TCP ou UDP). 
Par la suite, on note la connexion C AB de la fagon suivante : C A b = {IPa, Pa, IPb, 
20 Pb, proto}. 

On consid&e dans la suite de la description que Fextr6mit6 A - {IPa, Pa, proto} 
est situee dans le premier reseau 1 k adressage IP prive et que l'extr&nite B = {IPb, Pb, 
proto} est situee dans le second r6seau 2 h adressage IP normalise. En d'autres termes, 
F adresse IPa est une adresse privee alors que 1' adresse IPb est une adresse normalises 
25 On appelle paquets sortants les paquets se d6plagants du premier reseau 1 vers le 

second reseau 2, et paquets entrants les paquets se deplacant dans le sens inverse. 

Le principe g6n6ral de F invention est de modifier les paquets transmis entre les 
premier et second r6seaux 1, 2, de fagon que : 

pour chaque paquet sortant, F adresse IP privee contenue dans le champ 
30 "adresse IP source" 33 soit remplacee par une adresse IP normalisee 
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intermddiaire et unique, notee IPv (k noter que le principe d£fini ici est vrai 
pour les connexions sortantes. Pour les connexions entrantes, IPv n'est 
pas forcement unique) ; 

pour chaque paquet entrant, l'adresse IPv contenue dans le champ 

"adresse IP destination" soit remplacee par l'adresse IP privee adequate. 
Ainsi, apres modification, tous les paquets sortants possedent une meme adresse 
IP source, a savoir IPv. De meme, avant modification, tous les paquets entrants 
possedent une meme adresse IP destination, a savoir IPv. Par consequent, une seule 
adresse IP normalisee suffit pour raccorder tout le premier reseau 1 a adressage prive au 
second reseau 2 a adressage normalise. 

En termes de connexions, le proc£d6 de l'invention consiste a deporter rextremitd 
A de la connexion Cab sur une extremity virtuelle V. En d'autres termes, comme illustr^ 
sur la figure 6, on realise au point V une transposition de la connexion Cab ^ n une 
connexion virtuelle Cvb. La transposition de Cab en Cvb est effectuee : 

pour les paquets sortants, en rempla^ant les param&tres source IPa et Pa 

de Cab par les param&tres source IPv et Pv de Cvb I 

pour les paquets entrants,en rempla9ant les parametres destination IPv et 
Pv de Cvb par les parametres destination IPa et Pa de Cab- 
Le fonctionnement du procede de l'invention repose sur le maintien d'une table de 
conversion, associant a chaque connexion d'origine utilis£e sa connexion transposee. 

Le fonctionnement d'un mode de realisation particulier du procede de Tinvention 
est maintenant presente en relation avec les organigrammes des figure 7, 8 et 9. 

L'organigramme de la figure 7 pr&ente Tensemble du traitement (70) effectue sur 
chaque paquet. 

Tout d'abord, on verifie (71) que les totaux de contrSle 34, 44, 54 (ou 
checksums, en anglo-saxon) des en-tetes IP et TCP ou UDP (cf figure 3, 4, et 5) sont 
corrects. S'ils ne le sont pas, le paquet est ^limine (72). Sinon, les paramfetres { ip_src, 
p_src, ip_dst, p„dst, proto} sont extraits (73) du paquet, de fa$on a identifier la 
connexion d'origine C correspondant k ces parametres. 

On cherche ensuite (74) s'il existe une entrde de la table de conversion 
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correspondant k cette conversion d'origine C. S'ii n'en existe pas, on regarde (75) si le 
paquet est coherent et peut-etre un d6but de connexion d'origine. Si c'est le cas, 
I'enregistrement (76) de cette connexion d'origine et de sa connexion transposfe assocife 
est effectu6 (cf explication detaillee par la suite, en relation avec la figure 8). Si ce n'est 
pas le cas, le paquet est elimine (72). 

Apres enregistrement (76) ou si la connexion d'origine etait d6}h enregistrfie 
(c'est-^-dire s'il existe une entr6e correspondante), le paquet est modifie (77) (cf 
explication d£taillee par la suite, en relation avec la figure 9), puis le paquet est acheminfi 
(78). 

Enfin, si la connexion d'origine est terminee (79), les deux entrees correspondant 
a cette connexio d'origine sont 6tees (710) de la table des connexions. 

On explique maintenant en detail, en relation avec la figure 8, I'etape 76 
d' enregistrement de la connexion d'origine et de sa connexion transposes associee. 

Cette 6tape (76) consiste a creer dans ladite table de conversion une premiere et 
une seconde entree associant chacune un jeu de parametres d'origine J Q = {ip_src, p_src, 
ip_dst, p_dst, p_proto} a un jeu de parametres transposes J t = {ip__sre\ p„src\ ip_dst\ 
p_dst\ p_proto'}. 

On distingue deux cas, selon que la connexion d'origine est entrante, c'est-a-dire 
initiee par une extremite (A par exemple dans la suite de la description) du premier reseau 
1, ou sortante, c'est-a-dire initiee par une extremity (B par exemple dans la suite de la 
description) du second reseau 2. 

Si la connexion d'origine est sortante, par exemple de A vers B, on effectue les 
etapes suivantes : 

calcul (83) de IPV et PV pour former C V b ; 

enregistrement (84) d'une premiere et d'une seconde entrees associant les 
jeux de parametres d'origine et transposes suivants : 

* pour ladite premifere entrfe : 

J oJ = {IPa, Pa, XPb, Pb, proto} et J u = {IPv, Pv, IPb, Pb, proto}, 

* pour ladite seconde entree : 

Jo.2 = (IPb, P b » IPv* Pv» proto} et J tt2 = {IPb, Pb, IPa, Pa, proto}. 
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Ces quatre jeux de parametres J D j , Jtj , ha et J tt 2 sont illustres sur la figure 1 1 
qui presente un mode de realisation particulier d'une table de conversion utilisee dans la 
mise en oeuvre du proc6d6 de 1'invention. 

La seconde entree est destinee a Stre utilisee lors du traitement des paquets de 

retour. 

Les parametres IPa* Pa, IPb, Pb et proto sont lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" du paquet. 

Les parametres IPv, Pv et proto definissent une extremite virtuelle V, IPv etant 
I* adresse IP normalisee intermediaire et unique. La valeur du port Pv est calculee (83) en 
dynamiqu, de fa?on qu'il n'existe aucune autre connexion de la table de conversion 
possedant le m§me couple (IPv, Pv). 

Si la connexion d'origine est entrante, par exemple de B vers V, on effectue les 
etapes suivantes : 

recherche (82) de IPa et Pa, si le couple (IPv, Pv) est tel qu'il existe une 
extr£mit£ A d£port£e (par exemple une application donnee sur un serveur 
deport^ du r6seau prive) (81) ; 

enregistrement (84) d'une premiere et d'une seconde entrees associant les 
jeux de paramfetres d'origine et transposes suivants : 

* pour ladite premiere entrfe : 

3 oA = {IPb, Pb, IPv, Pv, proto} et J u = {IPb, Pb, IPa, Pa, proto}, 

* pour ladite seconde entree : 

J 0 , 2 = {IPa, Pa, IPb, Pb, proto} et J u2 = {IPv, Pv, IPb, Pb, proto}. 
La seconde entree est destinfe a etre utilisee lors du traitement des paquets de 

retour. 

Les parametres IPv, Pv et proto d6finissent une extr6mit£ virtuelle V, IPv 6tant 
1' adresse IP normalisde interm6diaire et unique, ou bien, au choix de l'administrateur, 
une adresse IP choisie dans la plage d'adresses normalises attribute au site a connecter, 
et Pv etant un port predetermine. 

Le couple de parametres (IPa, Pa) est trouve (82), grace au couple de parametres 
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(IPv, Pv), par lecture d'une table de correspondance statique associant de fa^on bijective 
a chaque couple de param^tres (IPa, Pa) parmi une pluralite predeterminee un couple de 
paramfetres (IPv, Pv) distinct. 

II est k noter que dans une mode de realisation simplifie du precede de 
T invention, les connexions entrantes sont rejetees par principe. Ainsi, grace au 
connexions sortantes, les machines du r£seau privd 1 ont acces aux ressources 
disponibles, sur le reseau normalise 2, mais les machines du r^seau normalise^ 2 n'ont pas 
accfes aux "ressources" du reseau priv6 1 (dissym6trie du principe de translation 
d* adresse). 

On explique maintenant en detail, en relation avec la figure 9, l'6tape 77 de 
modification du paquet. 

On examine (91) le protocole de a connexion d'origine, de fagon a savoir si celle- 
ci se termine. Si elle se termine, on anne (92) un temporisateur de liberation de connexion 
(on libere alors les entrees correspondant k cette connexion d'origine) et cr6es 
simultan6ment (cf figure 8)). Aprfes eet armement (92) ou si la connexion d'origine ne se 
termine pas, on effectue les modifications. 

Pour effectuer ces modifications, on distingue deux cas, selon que le paquet est 
sortant ou entrant. 

Si le paquet est sortant, la transposition de connexion est r6alis6e au rempla$ant 

(93) , dans le champ "adresse Ip source" du paquet, IPa par IPv, et dans le champ "port 
source" du paquet, Pa par Pv. 

Si le paquet est entrant, la transposition de connexion est r6alis€e en remplagant 

(94) , dans le champ "adresse IP destination" du paquet , IPv par IPa, et dans le champ 
"port destination" du paquet, Pv par Pa. 

Le paquet ainsi modifte subit une 6tape 95 de "traitement particulier connexion", 
consistant k gerer les particularites li6es k certains protocoles applicatifs, comme FTP, rep 
et rch. Ces particularites et leur traitement sont definies plus loin dans ce document. 

Enfin, les totaux de controle (checksums) des en-tetes IP et TCP ou UDP sont 
recalcules (96). 

Dans le premier mode de realisation du proc6de de F invention presente ci-dessus, 
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pour chaque couple (connexion d'origine, connexion transpos£e), on cree deux entrees 
dans la table (une pour chaque sens de paquet) et le traitement, du point de vue lecture 
dans la table, est identique pour les paquets sortants et la paquets entrants. 

On pr6sente maintenant un second mode de realisation du proc6d6 de l'invention, 
5 dans lequel, pour chaque couple (connexion d'origine, connexion transposee), on cree 

une seule entree dans la table et le traitement, du point de vue lecture dans la table, est 
different selon que les paquets sont sortants ou entrants. 

Dans ce second mode de realisation, Tetape de creation et d'ajout dans ladite table 
de conversion d'un nouveau couple (connexion d'origine, connexion transpos^e) 

10 consiste a creer dans la table de conversion une unique entree associee k un jeu combine 

de paramdtres d'origine et transpos6s J c = {ip 0 , po, ipi, pi, ip2, P2> proto} . 

Lorsque ladite connexion d'origine est sortante, le jeu combine de parametres 
d'origine et transposes s'dcrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto}. Les parametres 
IPa, Pa, IPb, Pb et proto sont lus dans les champs respectivement "adresse IP source", 

1 5 "port source", "adresse IP destination", "port destination", et "protocole de transport" du 

paquet. Les parametres IPv, Pv et proto definissent une extremite virtuelle V, IPv etant 
1* adresse IP normal is 6e intermediaire et unique et Pv etant un port dont la valeur est 
calculee en dynamique. 

Lorsque la connexion d'origine est entrante, le jeu combine de paramfetres 

20 d'origine et transposes s'dcrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto}. Les parametres 

IPb, Pb, IPv, Pv et proto sont lus dans les champs respectivement "adresse IP source", 
"port source", "adresse IP destination", "port destination", et "protocole de transport" du 
paquet. Les parametres IPv, Pv et proto definissent une extr£mit<5 virtuelle V, IPv etant 
V adresse IP normalis6e intermediate et unique, ou bien, au choix de 1' administrates, 

25 une adresse DP choisie dans la plage d'adresses normalisees attribuee au site k connecter, 

et Pv etant un port predetermine. Le couple de parametres (IPa, Pa) etant trouve associe 
de fa$on statique k un couple predetermine de parametres (IPv, Pv) distinct. 

Dans ce second mode de realisation, pour chaque paquet sortant, l'etape de 
modification du paquet consiste k remplacer le contenu des champs "adresse IP source" et 

30 "port source" du paquet par les param&tres ip 2 et p 2 du jeu combine de parametres 
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d'origine et transposes J c . Pour chaque paquet entrant, l'etape de modification du paquet 
consiste k remplacer le contenu des champs "adresse IP destination" et "port destination" 
du paquet par les parametres ipo et po du jeu combine de parametres d'origine et 
transposes J c . 

D'une fa^on generate, une connexion peut 6tre : 

soit utilis£e, si au moins un paquet coherent a 6t£ echange entre les deux 
extremites et si Ton ne peut pas assurer qu'il ne passera plus d' autre 
paquet coherent pour cette connexion ; 

soit libre, si aucun paquet n'a transite entre les deux extremites. 
Le fonctionnement des deux modes de realisation du procede de r invention 
presentes ci-dessus repose sur le maintien d'une table des connexions utilisee (c*est-a- 
dire sur la suppression des connexions qui redeviennent libres). II faut done determiner 
les instants de debut et de fin de vie de chaque connexion enregistree dans la table de 
conversion. 

Pour les connexions dont le protocole est TCP, ces instants de debut et de fin de 
vie de la connexion sont par exemple determines en se referant au diagrarnme d'etat d'une 
session TCP, selon la specification TCP (RFC 793). On se basera notamment sur le 
champ "drapeaux" de l'en-tete TCP et particuliferement sur les bits SYN pour le debut de 
la connexion et FIN pour la fin de celle-ci. On pourra prevoir aussi un temporisateur de 
securite, arme par le passage d'un paquet avec le bit FIN et supprimant la connexion au 
bout d'un certain temps d'inactivite, ceci pour resoudre le cas d'une deconnexion initiee, 
mais non parvenue a terme, cas possible, par exemple, avec une extremite devenue 
inactive, done incapable de participer k la cldture de la connexion. 

Pour les connexions dont le protocole est UDP, on peut definir 1' instant de debut 
de vie de la connexion par le passage, dans un sens donne, d'un paquet de requete, et 
F instant de fin de vie de la connexion par le passage, dans 1'autre sens, d'un paquet de 
reponse. 

Selon une variante, on definit l'instant de fin de vie par ecoulement d'une dur6e 
predetermine depuis l'instant de debut de vie. 

On peut imaginer d'autres variantes selon lesquelles l'instant de fin de vie de la 
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connexion, dans le cas UDP, est fonction de differents entires (nombre de paquets, 
expiration d'une duree predeterminee,...), ces criteres etant bien sur parametrables par 
type de connexion. 

Dans un mode de realisation particulier, on peut s'affranchir de la necessite de 
determiner le debut et la fin de connexion en utilisant le principe suivant : 

une connexion est cre£e lorsque apparait un nouveau paquet n'appartenant 
a aucune connexion existante ; 

on maintient constamment une variable definissant Theure du dernier 
paquet ayant transite sur cette connexion ; 

la fin de la connexion n'etant pas detectee, celle-ci restera dans la table 
alors qu'elle n'a plus d'existence ; 

le numero de port garantissant l'unicite etant code sur 2 octets, soit 65535 
valeurs possibles, la table va theoriquement arriver a saturation lorsque 
65535 connexions auront ete effectuees, 

on procedera alors a la suppression de la table de 1' entree correspondant k 
la connexion dont la variable notant 1'heure du dernier paquet est la plus 
ancienne. 

En pratique, afin de limiter r occupation memoire, on procedera a cette 
suppression h partir d'un nombre de connexions simultanees defini par radministrateur 
du systfeme. 

Optionnellement, le traitement de chaque paquet peut comprendre une etape de 
filtrage des paquets, en fonction du contenu d'au moins un des champs suivants : 
"adresse IP source", "adresse IP destination" et "port destination". Ainsi, on peut limiter 
le nombre de station du rdseau prive 1 ayant acces au reseau normalise 2, ou bien limiter 
cet acces k certaines applications. 

. La figure 12 illustre un exemple d* application du proced6 de T invention. 

Si on considere que Textremite A est sur un reseau prive Rl, que Textremite B est 
sur un reseau "normalise" R2, par exemple Internet, et que le point V est sur un canal de 
passage incontournable entre les deux reseaux Rl et R2, on realise Tapplication 
recherchee de Finvention : on rend possible une connexion d'un site prive avec un site 
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d'un r£$eau normalise, sans modifier les adresses du reseau priv6. 

En reference a la figure 12, rextr£mit6 A est par exemple un client telnet sur la 
machine Ml : A ={IPml, Pn, TCP}; ou IPml est l'adresse IP de la machine Ml, Pn est 
un port client determine de la machine Ml, et TCP est le protocole TCP. L'extr^mitS B 
est par exemple un serveur telnet de la machine M2 : B = {XPm2, 23, TCP) ; 23 etant le 
port connu TCP du serveur telnet Le tout forme la connexion C ={XPml, Pn, IPm2, 23, 
TCP}. 

Le reseau Rl est un reseau priv6 dont les routes par defaut vont vers le reseau R2. 
Le reseau R2 ne connait pas Fexistence de Rl. Le procede de 1* invention est mis en 
oeuvre dans la machine ou passerelle P. Cette passerelle P est connectee aux deux 
reseaux, & l'adresse privee IPrl pour Rl, & l'adresse normalisee IPr2 pour R2. 

Dans ces conditions, la connexion C ne peut fonctionner, car les paquets circulent 
bien dans le sens Ml vers M2, mais ne peuvent pas revenir vers Ml car le reseau Rl est 
inconnu des machines situees vers le r6seau R2. 

Si la passerelle P exploite le procede de T invention, on peut transposer au point V 
la connexion C en une connexion C2 en remplafant 1' extremity A par une extr6mit6 
virtuelle VA telle que VA soit sur le reseau R2 et que C2 transite par le point V. Pour 
satisfaire cette condition, la solution est de substituer IPml par IPr2 dans les paquets 
transitant par la passerelle P. Done on peut transposer C en C2 = {IPr2, Pn, IPm2, 23, 
TCP}. Le proc6d6 requiert 6galement que C2 soit libre, e'est-a-dire qu'au point V, on 
aura pris soin de noter toutes les connexions qui y transitent, de fagon a verifier qu*il n'y 
ait pas de client telnet avec le meme port Pn vers la meme destination (extremity B). Si 
cela etait le cas, on transformerait VA en {IPr2, Pm, TCP}, Pm 6tant un port TCP 
inutilise de la passerelle P. 

La translation des adresses et des ports dans les paquets IP est gen£ralement 
transparente pour les applications TCP/IP. Seules trois applications particulieres 
necessitent un traitement spdeifique, k savoir FTP (pour File Transfer Protocol en anglo- 
saxon), RCP (pour Remote copy (Transfert de fichiers) en anglo-saxon) et RSH (pour 
Remote Shell (Execution a distance) en anglo-saxon). 

L'application FTP permet le transfert de fichier d'une machine a une autre. Le 
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protocole FTP est defini selon la specification TCP, par le RFC 959. Ce protocole offre 
la particularity d'utiliser par session utilisateur une connexion TCP pour les commandes 
et d'y ajouter une autre connexion TCP pour les donnees du fichier en cours de transfert. 
Cette autre connexion, pour les donn€es, est 6tablie par le serveur. Done, elle 
5 apparait comme connexion entrante pour le dispositif mettant en oeuvre le procede de 

Tinvention, qui, par d£faut, refuse ce type de connexion. 

Une solution est done de d&ecter les connexions de commande FTP. Ce qui se 
fait en examinant le port destination qui, pour cette application est fixe k 21. A chaque 
connexion de commande FTP, on va done adjoindre une entree dans la table de 
10 conversion d'origine. Cette conversion va etre d^terminee en examinant les commandes 

transitant sur le canal. Le client FTP envoie une commande PORT ayant pour parametre 
Tadresse BP et le num£ro de port sur lequel doit etre etablie la connexion. Ces parametres 
doivent etre translates suivant le principe decrit prdcSdemment : remplacement de 
Tadresse IP source privee par Fadresse source virtuelle normalisee (IPV) et du port par 
15 un nouveau port de substitution attribu£ k cet usage. 

La commande : "PORT IP„ret, P_ret" 
oii: - IP_ret est Tadresse IP de la connexion en retour;et 
P_ret le Port de la connexion en retour, 
va etre translate en : 
20 "PORT IPv, Pv'V 

oil : - IPv est Tadresse source virtuelle, et 

Pv est le port source virtuelle attribue de maniere k garantir Tunicit6 de la 
connexion. 

Cette commande va cr6er une entree dans la table de conversion effectuant la 
25 substitution {IP_ret, P_ret} <=> {IPv, Pv}. 

La duree de vie de cette entree est liee k celle de la connexion de commande FTP. 
Si aucune commande PORT n'est envoyee sur le canal de commande, alors IP_ret 
prend par dfifaut Tadresse source de la connexion de commande et P_ret prend par defaut 
la valeur 20 (valeur par defaut des connexions de donnees associees au protocole FTP). 
30 Par ailleurs, pour des raisons de security, RCP et RSH imposent que le port 
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source prenne une valeur inferieure a 1024. En effet, ces ports sont definis comme 
accessibles uniquement aux utilisateurs ou applications "privileges" sur certains syst&mes 
d'exploitation. Le proc6d6 de translation de Finvention doit dans ce cas detecter ces 
protocoles (par le port destination de la connexion) et attribuer alors un port de 
substitution d'une valeur inferieure k 1024. 

L'invention concerne egalement un dispositif d' interconnexion mettant en oeuvre 
le proc6d6 d6crit pr&edemment. Ce dispositif est par exemple insere dasn un routeur IP, 
permettant V interconnexion des deux reseaux. Dans ce cas, Tadresse IP normalisee 
unique pour tout le premier reseau priv£ 1 est Fadresse de raccordement du routeur IP au 
second reseau normalise 2. 

En reference a la figure 10, dans un mode de realisation particulier, le dispositif 
d' interconnexion de reseaux 1 1 comprend : 

des moyens (12) de reception et de stockage d'un paquet ; 

des moyens (13) de lecture d'un paquet re?u et stocke, permettant d'identifier une 
connexion d'origine empruntee par ledit paquet, par la connaissance d'un jeu de 
parametres d* identification qui sont les contenus des champs "adresse IP source", 
"adresse DP destination*', "port source", "port destination", et "protocole de transport" du 
paquet re^u et stocke ; 

au moins une table de conversion (14), associant une connexion transposee 
distincte a chaque connexion d'origine, chacune desdites connexion d'origine ou 
transposee etant identifi£e par un jeu distinct de parametres d' identification ; 

des moyens (13) de lecture de ladite table de transposition, permettant de lire le 
jeu de paramfetres d' identification de la connexion transposee associde h la connexion 
d'origine emprunt6e par le paquet rcq u et stockd ; 

des moyens (15) de modification dudit paquet re?u et stocks permettant de 
substituer le jeu de parametres d' identification de la connexion transposee au jeu de 
parametres d'identification contenus dans le paquet re£u et stock6, de fa$on & remplacer la 
connexion d'origine par la connexion transposee qui lui est associee dans la table de 
conversion (14). 
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1REVENDICATIONS 
1 . Proc^de d'interconnexion de reseaux mettant chacun en oeuvre la technologie 
internet, du type permettant d'interconnecter un premier reseau (1) pr6sentant un 
adressage IP prive et un second reseau (2) presentant un adressage IP normalise, lesdits 
premier et second r6seaux vehiculant des paquets, chacun desdits paquets comportant un 
en-tete IP (31) comprenant notamment un champ "adresse IP source" (33) et un champ 
"adresse IP destination" (34), les paquets etant dits sortants s'ils se dSplacent du premier 
vers le second reseau a travers ledit dispositif et sortants dans le cas contraire, J D ,i = 
{IPb, Pb, IPv, Pv, proto} et J u = {IPb, Pb, IPa, Pa, proto}, 

caract6ris6 en ce que ledit procede comprend, pour chaque paquet sortant, une 
premiere etape de conversion de I* adresse IP priv6e contenue dans ledit champ "adresse 
IP source" (33), de fagon que ledit champ "adresse IP source" dudit paquet sortant 
contienne, apres conversion, une adresse BP normalisee intermediaire et unique (IPv) ; 

et en ce que ledit procede comprend, pour chaque paquet entrant, une seconde 
etape de conversion de 1' adresse IP normalisee intermediaire et unique (IPv) contenue 
dans le champ "adresse IP destination" (34), de fa$on que ledit champ "adresse IP 
destination" dudit paquet entrant contienne, apres conversion, une des adresses privfes 
du premier reseau. 

2 - Proced6 selon la revendication 1, chacun desdits paquets comportant un en-t$te 
TCP (41) ou UDP (51) comprenant notamment un champ "port source" (42 ; 52) et un 
champ "port destination" (43 ; 53), ledit en-tete IP (31) comprenant en outre un champ 
"protocole de transport" (32) indiquant le protocoie TCP ou UDP utilise, les paquets 
empruntant des connexions bidirectionnelles, chaque connexion etant un lien logique 
entre une premiere extremity (A) du premier reseau (1) et une seconde extr£mit6 (B) du 
second reseau (2), chaque premiere ou seconde extremity 6tant identiftee par une adresse 
IP (IPa, IPb), un port (Pa, Pb) et un protocole de transport (proto), chaque connexion 
(Cab) 6tant identifi^e par un jeu de param&res {IPa, Pa, IPb, Pb, proto} correspondant 
respectivement & Tadresse IP et au port de la premiere extremite (A), k 1'adresse IP et au 
port de la seconde extr6mite (B), et au protocole de transport commun aux premiere et 
seconde extr&nites, 
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caract6ris6 en ce que lesdites premieres et secondes Stapes de conversion 
d* adresse comprennent, pour chaque paquet, les Stapes suivantes : 

lecture (73) des champs "adresse IP source", "port source", "adresse IP 
destination", "port destination*', et "protocole de transport" dudit paquet, de fagon k 
disposer d'un jeu de paramfetres correspondant aux contenus desdits champs lus et 
permettant d' identifier une connexion d'origine empruntde par ledit paquet ; 

recherche (74) dans une table de conversion (14) d'une entree correspondant a 
ladite connexion d'origine empruntee par le paquet, ladite table de conversion associant 
une connexion transposfe distincte a chaque connexion d'origine ; 

s*il n'existe pas d'entree correspondant a ladite connexion d'origine empruntde 
par le paquet, creation et ajout (76) dans ladite table de conversion d'un nouveau couple 
(connexion d'origine, connexion transpose) ; 

modification (77) dudit paquet, de fagon a remplacer la connexion d'origine par la 
connexion transposee qui lui est associee. 

3 . Procede selon la revendication 2, caracterise en ce que ladite etape (76) de creation 
et d' ajout dans ladite table de conversion d'un nouveau couple (connexion d'origine, 
connexion transposee) consiste k cr6er dans ladite table de conversion une premiere et une 
seconde entr6e associant chacune un jeu de parametres d'origine J c = {ip_src, p_src, 
ip_dst, p_dst, p_proto) k un jeu de parametres transposes J t = {ip_src\- p_src\ ip_dst\ 
p_dst\ p_proto*}, 

et eh ce que, lorsque ladite connexion d'origine est sortante, c'est-k-dire initi6e 
par ladite premiere extr6mit6 (A) du premier r&eau (1), lesdits jeux de parametres 
d'origine et transposes s'ecrivent respectivement : 

pour ladite premiere entree : J 0l i = {IPa, Pa, IPb, Pb, proto} et l u \ = {IPv, Pv, 
IPb, Pb, proto}, 

pour ladite seconde entree : J Dt 2 = {IPb, Pb, IPv, Pv, proto) et J t ,2 = {IPb, Pb, 
IPa, Pa, proto), 

les parametres IPa, Pa, IPb, Pb et proto 6tant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 
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les parametres IPv, Pv et proto definisant une extremity virtuelle (V), IPv etant ladite 
adresse IP normalisee intermediate et unique et Pv etant un port dont la valeur est 
calcuiee en dynamique (83), de fa?on qu'il n'existe aucune autre connexion de la table de 
conversion possedant le meme couple (IPv, Pv). 

4 . Precede selon la revendieation 3, caracterise en ce que, lorsque ladite connexion 
d'origine est entrante, c'est-a-dire initiee par ladite seconde extremite (B) du second 
reseaii (2), lesdits jeux de parametres d'origine et transposes s*6crivent respectivement : 

pour ladite premiere entnSe : J Gt i = {IPb, Pb, IPv, Pv, proto} et J t ,i = {IPb, Pb, 
IPa, Pa, proto}, 

pour ladite seconde entree : J Q ,2 = {IPa, Pa, IPb, Pb, proto} et J u2 = {IPv, Pv, 
IPb, Pb, proto}, 

les parametres IPb, Pb, IPv, Pv et proto etant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto definisant une extremite virtuelle (V), IPv appartenant au 
groupe comprenant ladite adresse DP normalisee intermediaire et unique, et une adresse IP 
choisie dans la plage d'adresses normalisees attribuee au site k connecter, et Pv etant un 
port predetermine, 

et le couple de parametres (IPa, Pa) etant trouve (82), grSce au couple de parametres 
(IPv, Pv), par lecture d'une table de correspondance statique associant de fagon bijective 
a chaque couple de parametres (IPa, Pa) parmi une pluralite predeterminee un couple de 
parametres (IPv, Pv) distinct. 

5 . Precede selon la revendieation 2, caracterise en ce que ladite etape (76) de creation 
et d'ajout dans ladite table de conversion d'un nouveau couple (connexion d'origine, 
connexion transposee) consiste k creer dans ladite table de conversion une unique entree 
associee h un jeu combine de parametres d'origine et transposes J c = {ipo, po» ipi* Pi. 
ip2» P2» proto}, 

et en ce que, lorsque ladite connexion d'origine est sortante, c*est-a-dire initiee 
par ladite premiere extremite (A) du premier reseau (1), ledit jeu combine de parametres 
d'origine et transposes s'ecrit J c = {IPa, Pa, IPb, Pb, IPv, Pv, proto}, 
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les parametres IPa, Pa, IPb, Pb et proto etant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto definisant une extremite virtuelle (V), IPv etant ladite 
adresse IP normalisee interni6diaire et unique, et Pv etant un port dont la valeur est 
calculee en dynamique (83), de fa9on qu'il n'existe aucune autre connexion de la table de 
conversion poss6dant le meme couple (IPv, Pv). 

6 . Procede selon la revendication 5, caracterise en ce que, lorsque ladite connexion 
d'origine est entrante, c'est-a-dire initiee par ladite seconde extremite (B) du second 
reseau (2), ledit jeu combine de parametres d'origine et transposes s'ecrit J c = {IPa, Pa, 
IPb, Pb, IPv, Pv, proto}, 

les parametres IPb, Pb, IPv, Pv et proto etant lus dans les champs respectivement 
"adresse IP source", "port source", "adresse IP destination", "port destination", et 
"protocole de transport" dudit paquet, 

les parametres IPv, Pv et proto definisant une extremite virtuelle (V), IPv appartenant au 
groupe comprenant ladite adresse IP normalisee intermediaire et unique, et une adresse IP 
choisie dans la plage d'adresses normalises attribute au site k connecter, et Pv etant un 
port predetermine, 

et le couple de parametres (IPa, Pa) etant trouve (82), gr&ce au couple de parametres 
(IPv, Pv), par lecture d'une table de correspondance statique associant de fa^on bijective 
k chaque couple de parametres (IPa, Pa) parmi une pluralite predeterminee un couple de 
parametres (IPv, Pv) distinct. 

7 . Proc6d6 selon Tune quelconque des revendications 3 et 4, caracterise en ce que, 
pour chaque paquet sortant, ladite etape (77) de modification du paquet consiste a 
remplacer (93) le contenu des champs "adresse IP source" et "port source" du paquet par 
les parametres correspondants ip_src' et p_src* dudit jeu de parametres transposes J t 
d'identification de la connexion transposee, 

et en ce que, pour chaque paquet entrant, ladite etape (77) de modification du 
paquet consiste h remplacer (94) le contenu des champs "adresse IP destination" et "port 
destination" du paquet par les parametres correspondants ip_dst* et p_dst' dudit jeu de 
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parametres transposes J t d' identification de la connexion transposes 

8 • Procede selon Tune quelconque des revendications 5 et 6, caractSrise en ce que, 
pour chaque paquet sortant, ladite €tape de modification du paquet consiste k remplacer le 
contenu des champs "adresse IP source" et "port source" du paquet par les parametres ip2 
et p2 dudit jeu combing de parametres d'origine et transposes J c , 

et en ce que, pour chaque paquet entrant, ladite dtape de modification du paquet 
consiste k remplacer le contenu des champs "adresse IP destination" et "port destination" 
du paquet par les parametres ipo et po dudit jeu combine de parametres d'origine et 
transposes J c . 

9 . Proc6d6 selon Tune quelconque des revendications 2 a 8, caracterisd en ce que 
ladite table de conversion (14) est mise a jour de fagon dynamique selon une strat^gie 
preddterminee de mise k jour. 

10. Proc6de selon la revendication 9, caract^rise en ce que ladite strat£gie 
pr6d£terminee de mise k jour consiste k ne laisser chaque couple (110, 111) de 
connexions d'origine et transposee inscrit dans la table de conversion qu'entre un instant 
de debut et un instant de fin de vie de ladite connexion d'origine. 

11* Procede selon la revendication 10, caracterise en ce que, dans le cas d'une 
connexion utilisant le protocole TCP, lesdits instants de debut et de fin de vie de la 
connexion d'origine sont determines en se referant au diagramme d*6tat d'une session 
TCP, selon la specification TCP (RFC 793). 

12- Procede selon Tune quelconque des revendications 10 et 11, caracterise en ce 
que, dans le cas d'une connexion utilisant le protocole UDP, ledit instant de debut de vie 
de la connexion d'origine est determine par le passage, dans un sens donnd, d'un paquet 
de requete, et en ce que ledit instant de fin de vie est determine par le passage, dans le 
sens inverse dudit sens donne, d'un paquet de rdponse. 

13. Proc6d6 selon Tune quelconque des revendications 10 et 11, caract6rise en ce 
que, dans le cas d'une connexion utilisant le protocole UDP, ledit instant de debut de vie 
de la connexion d'origine est determine par le passage, dans un sens donn6, d'un paquet 
de requSte, et en ce que ledit instant de fin de vie est determine par l'ecoulement d'une 
duree pnedeterminfie depuis ledit instant de d£but de vie. 
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14. Procede selon la revendication 9, caracterise en ce que ladite strat£gie 
predeterminee de mise k jour consiste k : 

creer une connexion lorsqu'apparait un nouveau paquet n'appartenant a 
aucune connexion existante ; 

maintenir constamment une variable definissant Theure du dernier paquet 
ayant transit^ sur cette connexion ; 

lorsque la table contient un nombre predetermine de connexions 
simultan6es, supprimer de la table Tentr^e correspondant k la connexion 
dont la variable notant l'heure du dernier paquet est la plus ancienne. 

1 5. Procede selon Tune quelconque des revendications 2 a 14, caracterise en ce qu'il 
comprend une 6tape de filtrage des paquets sortants en fonction du contenu d'un des 
champs appartenant au groupe comprenant les champs "adresse IP source", "adresse IP 
destination** et "port destination*'. 

16. Dispositif d' interconnexion de reseaux mettant chacun en oeuvre la technologie 
internet, du type destin6 k etre insere entre un premier reseau (1) prdsentant un adressage 
IP priv6 et un second reseau (2) pr6sentant un adressage IP normalise, lesdits premier et 
second reseaux vehiculant des paquets, chacun desdits paquets comportant un en-tete IP 
(31) comprenant notamment un champ "adresse IP source*' (33) et un champ "adresse IP 
destination** (34), les paquets 6tant dits sortants s'ils se deplacent du premier vers le 
second reseau k travers ledit dispositif et sortants dans le cas contraire, 

caracterise en ce que ledit dispositif (11) possfede une adresse IP normalis€e 
interm&iiaire et unique (IPv) dans ledit second reseau, 
et en ce qu*il comprend notamment : 

des premiers moyens de conversion des adresses IP privees contenues dans les 
champs "adresse IP source" des paquets sortants, de fa$on que ledit champ "adresse IP 
source'* de chacun desdits paquets sortants contienne, apres conversion, ladite adresse IP 
normalisSe intermediaiie et unique (IPv) ; et 

des seconds moyens de conversion de 1* adresse IP normalis^e interm6diaire et 
unique (IPv) contenue dans les champs "adresse DP destination" des paquets entrants, de 
fagon que ledit champ "adresse IP destination" de chacun desdits paquets entrants 
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contienne, aprfcs conversion, une des adresses privies du premier r6seau. 

1 7 . Dispositif selon la revendication 16, chacun desdits paquets comportant un en-tete 
TCP (41) ou UDP (51) comprenant notamment un champ "port source" (42 ; 52) et un 
champ "port destination" (43 ; 53), ledit en-t6te IP (31) comprenant en outre un champ 
"protocole de transport" (32) indiquant le protocole TCP ou UDP utilise, 

caract6ris6 en ce que lesdits premiers et seconds moyens de conversion d' adresse 
comprennent : 

des moyens (12) de reception et de stockage d'un paquet ; 

des moyens (13) de lecture d'un paquet re$u et stocke, permettant d'identifier une 
connexion d'origine empruntee par ledit paquet, par la connaissance d'un jeu de 
parametres d' identification qui sont les contenus des champs "adresse IP source", 
"adresse IP destination", "port source", "port destination", et "protocole de transport" du 
paquet re$u et stocks ; 

au moins une table de conversion (14), associant une connexion transposee 
distincte h chaque connexion d'origine, chacune desdites connexion d'origine ou 
transposee etant identifiee par un jeu distinct de paramfctres d'identification ; 

des moyens (13) de lecture de ladite table de transposition, permettant de lire le 
jeu de paramfetres d'identification de la connexion transposee associee a la connexion 
d'origine empruntee par le paquet re?u et stocks ; 

des moyens (15) de modification dudit paquet re9u et stocke permettant de 
substituer le jeu de parametres d'identification de la connexion transposee au jeu de 
parametres d'identification contenus dans le paquet re9u et stocks, de faqon k remplacer la 
connexion d'origine par la connexion transposee qui lui est associee dans la table de 
conversion. 

18, Routeur IP d* interconnexion de rdseaux, caracteris6 en ce qu'il comprend un 
dispositif (11) selon l'une quelconque des revendications 16 et 17, ladite adresse IP 
normalis6e interm&liaire et unique (IPv) 6tant 1' adresse IP normalisfe de raccordement 
dudit routeur IP audit second rdseau (2). 



WO 97/05727 



PCT/FR96/01179 




1/5 




Conversion 
d'adresse 

i 














42- 
43- 



44- 



21 



31 



41 

rL 



En-tete IP En-tete TCP 



Donnees 



41 



~r-> — 7 

32 33 34 



Longueur 
(en bits) 


Signification 


16 


Port source 


16 


Port destination 


32 


N° de sequence 


32 


N° d'acquittement 


4 


Longueur en-tete 


6 


Reserve 


6 


Drapeaux 


16 


FenStre 


16 


Total de contrdle 


16 


Pointeur d'urgence 


Variables 


Options 


Variables 


Donn6es 



Fig. 4 



32- 

34- 
33- 

34" 



/ 

42 


/ 

43 

Fig. 2 

31 


Longueur 
(en bits) 


Signification 


4 


Version 


4 


Longueur de Ten-tete 


8 


Type de service 


16 


Longueur total 


16 


Identification 


2 


Drapeaux 


14 


D6placement Fragment 


8 


Duree de vie 


8 


Protocole 


16 


Total de contrdle en-tete 


32 


Adresse IP source 


32 


Adresse IP destination 


Variable 


Options 


Variable 


Donn6es 


Fig. 3 



WO 97/05727 



PCT/FR96/01S79 



2/5 



51 



52- 
53- 

54" 



Longueur 
(en bits) 


Signification 


16 


Port source 


16 


Port destination 


16 


Longueur du message 


16 


Total de controle 


Variable 


Donn6es 



Cab 

A S 



V 4- 



V 

CVB 




Fig. 5 



Fig, 6 



Enregistrement de la connexion d'origine 
et de sa connexion transposes 




1 



Sortante 



Trouver IPa et Pa 
pour former Cab 
(connexion transposee) 



Calcul de 
IPv et Pv 
pour former Cvb 
(connexion 
transpos6e) 



Enregistrer la connexion 
d'origine et la connexion 
transpos6e 



c 



Echec cr6ation 



) 



c 



i 



84 



Succes creation 



Fig. 8 



WO 97/05727 



PCT/FR96/01179 



3/5 

TRA1TEMENT PAQUET ^ 



Non 



.es checksums 
jiu paquet sont corrects. 
? 

~Oui 



Extraction des informations de connexion d'origine 
C = (ip_src ) p_src,ip_dst,ip_proto) 



Non 




Enregistrement de connexion 
d'origine et sa connexion transpos6e 



Non 



72 




V6 



MODIFICATION PAQUET 



77 



^Elimination du paquet^ < ^\cheminement du paquet ^V-78 




Qui 



73 



Oui 



Non 



710 



Suppression des connexions 
dans la table des connexions 



WO 97/05727 



PCT/FR96/01B79 



4/5 



v MODIFICATION PAQUET J 
I 




Armer temporisateur de 
liberation de connexion 



94 



Entrant 



Remplacer : 
ip_dst par IPa 
p_dst par Pa 



Sortant 93 



TRAITEMENT PARTICULIER 
CONNEXION 



Remplacer : 
ip_src par IPv 
p„src par Pv 



95 



Fig„ 9 



Recalcul des checksums 
du paquet 



c 



X 

FIN 



D 



96 




Fig. 1 0 



WO 97/05727 



PCT/FR96/01179 



5/5 



14 



J0.1 



J0,2 



c 

ip_src 


:onnex 

p_src 


IONS D 
ip_dst 


'ORIGINI 
p_dst 


E 

proto 




COI 
ip_src' 


MNEXIO 
p_src* 


NS TRA 
ip_dst' 


NSPOSI 
p_dsf 


EES 
proto' 


fPa 


Pa 


IPb 


Pb 


proto 


IPv 


Pv 


IPb 


Pb 


proto 


IPb 


Pb 


IPv 


Pv 


proto 


IPb 


Pb 


IPa 


Pa 


proto 



Jt,l 



Jt,2 



Fig. 1 1 



Machine Ml 
IP:IPm1 




I I 



Machine M2 
IP:IPm2 



IP:IPrl 



IP:IPr2 



Passerelie P 



Point "V" 




Fig. 1 2 



INTERNATIONAL SEARCH REPORT 



Into tiooal Application No 

Pu/FR 96/01179 



A. CLASSIFICATION OF SUBJECT MATTER 

PC 6 H04L29/06 H04L12/66 



According to International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (classification system followed by classification symbols) 

IPC 6 HG4L 



Documentation searched other than minimum documentation to the extent that such documents are included in the fields searched 



Electronic data base consulted during the international search (name of data base and, where practical, search terms used) 



C DOCUMENTS CONSIDERED TO BE RELEVANT 



Category * Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to claim No. 



IEEE JOURNAL ON SELECTED AREAS IN 
COMMUNICATION, 

vol. 8, no. 1, January 1990, NEW YORK, US, 

pages 67-79, XP000133533 

L.SV0B0D0VA ET AL: "HETEROGENEITY AND 

OSI" 

see paragraph IV.B 
see paragraph V 

IEEE JOURNAL ON SELECTED AREAS IN 
COMMUNICATION, 

vol. 8, no. 1, January 1990, NEW YORK, US, 

pages 4-11, XP0O0133530 

C. A. SUNSHINE: "NETWORK INTERCONNECTION 

AND GATEWAYS" 

see paragraph I.C 

see paragraph III 



1,16 



1,16 



□ 



Further documents are listed in the continuation of box C 



□ 



Patent family members are listed in annex. 



* Special categories of cited documents : 

* A* document defining the general state of the art which is not 

considered to be of particular relevance 
"E" earlier document but published on or after the international 
filing date 

'L* document which may throw doubts on priority daimfs) or 
which is cited to establish the publication date of another 
citation or other special reason (as specified) 

"O" document referring to an oral disclosure, use, exhibition or 
other means 

'P* document published prior to the international filing date but 
later than the priority date claimed 



*T" later document published alter the international filing date 
or priority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 
invention 

"X* document of particular relevance; the daimed invention 
cannot be considered no vet or cannot be considered to 
involve an inventive step when the document is taken alone 

*Y" document of particular relevance; the daimed invention 
cannot be considered to involve an inventive step when the 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person stalled 
in the art. 

'&' document member of the same patent family 



Date of the actual completion of the international search 



25 September 1996 



Date of mailing of the international search report 



0 4. JO. 96 



Name and mailing address of the ISA 

European Patent Office, P.B. 5818 Patenttaan 2 
NL - 2280 HV Riprwijk 
Tel. ( + 31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Authorized officer 



Canosa Areste, C 



Form PCT/IS A/210 (second theel) (July 1992) 



RAPPORT DE RECHERCHE INTERNATIONALE 



De? *e Internationale No 

PCT/FR 96/01179 



A. CLASS EM ENT DE L'OBJET DE LA DEM AN DE 

CIB 6 H94L29/06 H04L12/66 



Scion la classification intemationale des brevets (CIB) ou a la fais sdon la classification nationals et la CIB 



B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 



Documentation immmale consul tee (system* de classification suivi des symboles de classcmcnt) 

CIB 6 H04L 



Documentation consultee autre que 



la documentation minimalc dans la mesure ou ces documents rclcvent des domaines sur lesquds a porte la recherche 



Base de donnees eftcctronique consultee au cours de la recherche Internationale (nom de la base de donnees, et si cda est realisable, termes de recherche 
utilises) 



C. DOCUMENTS CONSIDERES COM ME PERTINENTS 



Categoric " Identification des documents cites, avec, le cas echeant, 1'iitdication des passages pertinents 



no. des revendications visees 



A 



IEEE JOURNAL ON SELECTED AREAS IN 
COMMUNICATION, 

vol. 8, no. 1, Janvier 1990, NEW YORK, US, 

pages 67-79, XPO0O133533 

L.SV0B0D0VA ET AL: "HETEROGENEITY AND 

OSI" 

voir alinea IV. B 
voir alinea V 

IEEE JOURNAL ON SELECTED AREAS IN 
COMMUNICATION, 

vol. 8, no. 1, Janvier 1990, NEW YORK, US, 

pages 4-11, XPG00133530 

C. A. SUNSHINE: "NETWORK INTERCONNECTION 

AND GATEWAYS" 

voir alinea I.C 

voir alinea III 



1,16 



1,16 



j j Voir la suite du cadre C pour la fin de la tistc des documents 



□ 



Les documents de families dc brevets sont indiques en annexe 



* Categories speciales de documents cites: 

'A* document defmissant l'etat general de la technique, non 

considere comme particulierement pertinent 
*E* document anterieur, mais puUit & la date de depot international 

ou apres cette date 
"L" document pouvant jeter un doute sur une revendication de 

priori te ou cite pour determiner la date de publication d'une 

autre citation ou pour une raison speciale (telle qu'indiquee) 
"O" document ce referant a une divulgation oralc, a un usage, a 

une exposition ou tous autres moyens 
'P* document pubtie avant la date de depot international, mais 

posterieurement a la date de priorue revendiquee 



T* document ulterieur puMii apres la date de depot international ou la 
date de priori te et n'appartenenant pas a l'etat de la 
technique pertinent, mais cite pour comprendrc le principe 
ou la theorie constituant la base de 1' invention 



"V 



it particulierement pertinent; ('invention revendiquee ne peut 
etrc consideree comme nouvctle ou comme impliquant une activite 
inventive par rapport au document considere isolemcnt 
document particulier em ent pertinent; 1' invention revendiquee 
ne peut Ctre consideree comme impliquant une activite inventive 
lorsque le document est assode a un ou plusieurs autres 
documents de meme nature, cette comhinaison etant evident* 
pour une personne du metier 

document qui fait partie de la meme famitle de brevets 



Date a taquellc la recherche intemationale a etc effectivement achevee 

25 Septembre 1996 



Date d' expedition du present rapport de recherche intemationale 

04.10.96 



Nom et adresse postale de Taaministration chargee de la recherche intemationale 
Office Europecn des Brevets, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijlc 
Tel. ( + 31-70) 340-2040, Tx. 31 6S1 epo nl, 
FaJC (+31-70) 340-3016 



Fonctionnaire autorise 



Canosa Areste, C 



Formulaire PCT/I&A/310 (detudeme feuOte) (JuMet 1993) 



